一、基本要求的名称变更
等保1.0的名称为《信息安全技术 信息系统安全等级保护基本要求》
等保2.0的名称为《信息安全技术 网络安全等级保护基本要求》(与《网络安全法》中的相关法律条文保持一致)
二、定级对象的变化
安全等级保护的对象包括网络基础设施(广电网、电信网、专用通信网络等)、云计算平台/系统、大数据平台/系统、物联网、工业控制系统、采用移动互联技术的系统等。
定级程度有所上升,提高了对公民、法人和其他组织的合法权益这一侵害客体的侵害程度定级,其中特别严重损害程度由从原来的第二级升级为第三级。
三、安全要求的变化
原来的 “安全要求” 变为 “安全通用要求和安全扩展要求”
安全通用要求是不管等级保护对象形态如何必须满足的要求,针对云计算、移动互联、物联网和工业控制系统提出了特殊要求,称为安全扩展要求。
四、安全通用要求控制欲和控制节点的变化
结构和分类调整为:
技术部分:
安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心
管理部分:
安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理
五、新增4个安全扩展要求
云计算安全扩展要求,对云计算环境主要增加的内容包括“基础设施的位置”、“虚拟化安全保护”、“镜像和快照保护”、“云服务商选择”和“云计算环境管理”等方面。
移动互联安全扩展要求,对移动互联环境主要增加的内容包括“无线接入点的物理位置”、“移动终端管控”、“移动应用管控”、“移动应用软件采购”和“移动应用软件开发”等方面。
物联网安全扩展要求,对物联网环境主要增加的内容包括“感知节点的物理防护”、“感知节点设备安全”、“感知网关节点设备安全”、“感知节点的管理”和“数据融合处理”等方面。
工业控制系统安全扩展要求,对工业控制系统主要增加的内容包括“室外控制设备防护”、“工业控制系统网络架构安全”、“拨号使用控制”、“无线使用控制”和“控制设备安全”等方面。